cisa培訓(xùn)課件第一章

第一章信息系統(tǒng)審計過程

一、本章學(xué)習(xí)內(nèi)容主要內(nèi)容所占比重

遵照普遍接受的信息系統(tǒng)審計標(biāo)準(zhǔn)和指南從事信息系統(tǒng)審計，以確保組織的信息技術(shù)和業(yè)務(wù)系統(tǒng)得到充分的控制、監(jiān)督和評價.學(xué)習(xí)目標(biāo)在符合組織的審計標(biāo)準(zhǔn)、指南和最佳實踐的前提下，制定與實施基于風(fēng)險的信息系統(tǒng)審計策略；制定特定的審計計劃，以保證組織IT和業(yè)務(wù)系統(tǒng)得到充分的保護(hù)與控制；按照信息系統(tǒng)審計標(biāo)準(zhǔn)、指南和最佳實踐進(jìn)行審計，以實現(xiàn)預(yù)定的審計目標(biāo)；對出現(xiàn)的問題、潛在的風(fēng)險和審計結(jié)論要向組織的利益相關(guān)者進(jìn)行溝通；信息系統(tǒng)審計師在維護(hù)自身獨立性的同時，要為組織有效實施風(fēng)險管理和控制提供建議。知識要點ISACA制定的審計準(zhǔn)則、審計指南及審計程序和職業(yè)道德規(guī)范；信息系統(tǒng)審計實務(wù)及技術(shù)；收集信息，保存證據(jù)的技術(shù)（例如：觀察、調(diào)查、訪談、CAAT、電子媒體）；證據(jù)生命周期（例如：證據(jù)收集、證據(jù)保護(hù)、證據(jù)保管鏈）；信息系統(tǒng)控制目標(biāo)與控制措施（例如：COBIT）；審計環(huán)境中的風(fēng)險評估；審計計劃與管理技術(shù)；審計過程中的報告和溝通技巧(報告、演示、協(xié)商、解決沖突等)；控制自我評估（CSA）；對審計人員的管理(審計人員配備、培訓(xùn)等)。知識結(jié)構(gòu)圖A1－審計章程（AuditCharter）組織通過審計章程來確定信息系統(tǒng)審計活動在組織中所扮演的角色。審計章程既要強(qiáng)調(diào)管理層本身的對信息系統(tǒng)審計的責(zé)任與目標(biāo)，以及對信息系統(tǒng)審計的授權(quán)，也要明確信息系統(tǒng)審計師可以行使的權(quán)力、所負(fù)責(zé)任及審計范圍。某股份有限公司內(nèi)部審計章程A.信息系統(tǒng)審計簡介A2.審計資源管理審計師的信息系統(tǒng)相關(guān)知識與能力審計項目管理的能力審計人員的培訓(xùn)計劃審計工具的使用（例如：網(wǎng)絡(luò)掃描工具、穿透測試工具、日志分析工具等）A3.審計計劃短期計劃－本年度內(nèi)需要實施的審計事項中長期計劃－2年以上的審計計劃制定審計計劃的要點：年度計劃示例年度實施計劃示例中長期審計計劃充分了解組織的業(yè)務(wù)目標(biāo)、業(yè)務(wù)流程及信息技術(shù)進(jìn)行風(fēng)險評估、實施內(nèi)部控制檢查確定審計范圍及目標(biāo)、制定審計方法及審計策略審計計劃應(yīng)當(dāng)?shù)玫焦芾韺雍蛯徲嬑瘑T會的批準(zhǔn)，如果可能的話，盡量通報到各管理層負(fù)責(zé)人綜合考慮審計項目要求、人力資源現(xiàn)狀及其他限制條件，合理匹配審計資源A4.考慮法律法規(guī)的影響確定政府及其他團(tuán)體是否有以下方面的規(guī)定和要求：計算機(jī)的運(yùn)行與控制計算機(jī)、程序及數(shù)據(jù)的存放方式，信息服務(wù)的活動及組織記錄相關(guān)法律與法規(guī)的要求評估組織的在制定信息系統(tǒng)計劃、策略、標(biāo)準(zhǔn)及程序時是否考慮的來自外部法律法規(guī)要求。檢查內(nèi)部信息系統(tǒng)相關(guān)部門是否在正式文件中落實了遵守法律、法規(guī)的要求。檢查組織中是否已經(jīng)建立程序，并遵照執(zhí)行來滿足法律、法規(guī)的要求。國外舉例：《薩班斯—奧克斯利法案》國內(nèi)舉例：《商業(yè)銀行內(nèi)部控制試行辦法》B.信息系統(tǒng)審計準(zhǔn)則與指南提高信息系統(tǒng)審計質(zhì)量、促進(jìn)審計從業(yè)人員之間的經(jīng)驗交流，促進(jìn)審計職業(yè)的良好發(fā)展信息系統(tǒng)審計準(zhǔn)則信息系統(tǒng)審計指南信息系統(tǒng)審計程序職業(yè)道德規(guī)范強(qiáng)制性標(biāo)準(zhǔn)推薦性標(biāo)準(zhǔn)B1.IS審計職業(yè)道德規(guī)范職業(yè)道德規(guī)范(CodeofProfessionalEthics)職業(yè)審慎(DueProfessionalCare)信息系統(tǒng)審計師應(yīng)在審計工作中自覺嚴(yán)格遵循相關(guān)實施準(zhǔn)則、程序及控制，并遵守相關(guān)法律法規(guī)的要求；在具體執(zhí)行審計中要按照職業(yè)標(biāo)準(zhǔn)及最佳實踐原則要求自己，做到敬業(yè)、公正及審慎。以誠實及符合法律要求的方式為利益相關(guān)者服務(wù)，保持高尚的行為及品德，不從事有損于信息系統(tǒng)審計職業(yè)的活動；對信息系統(tǒng)審計過程中所取得的信息，應(yīng)予以保密，不得借以謀取私利和泄漏給他人。執(zhí)法機(jī)構(gòu)的司法調(diào)查除外；保持在審計和信息系統(tǒng)控制相關(guān)領(lǐng)域的專業(yè)勝任能力，有效而可靠地完成審計任務(wù)；應(yīng)獲得充分及適當(dāng)?shù)淖C據(jù)，作出審計結(jié)論及建議，審計結(jié)果應(yīng)向適當(dāng)?shù)慕M織、部門和個人報告；應(yīng)當(dāng)對組織中的利益相關(guān)者進(jìn)行信息系統(tǒng)安全與控制的教育，以促進(jìn)其對審計及信息系統(tǒng)的了解；指工作勤勉程度和開展工作所必需的技能要求，體現(xiàn)在信息系統(tǒng)審計師的職業(yè)判斷過程中，是確?？蛻臬@得高質(zhì)量審計的基礎(chǔ)B2.ISACA信息系統(tǒng)審計準(zhǔn)則是整個審計準(zhǔn)則體系的總綱，是信息系統(tǒng)審計師的資格條件、執(zhí)業(yè)行為的基本規(guī)范，是制定審計指南和審計程序的基礎(chǔ)依據(jù)。審計師執(zhí)行審計業(yè)務(wù)，出具審計報告，都必須遵守執(zhí)行，具有強(qiáng)制性ISACA標(biāo)準(zhǔn)委員會制定了11大類信息系統(tǒng)審計準(zhǔn)則。信息系統(tǒng)審計準(zhǔn)則B3.審計方案指南審計方案指南是依據(jù)審計準(zhǔn)則制定的，是審計準(zhǔn)則的具體化。指南詳細(xì)規(guī)定了信息系統(tǒng)審計師執(zhí)行各項審計業(yè)務(wù)、出具審計報告的具體指南，為審計師在執(zhí)行審計業(yè)務(wù)中如何遵守審計準(zhǔn)則提供指導(dǎo)。審計師在運(yùn)用這些指南時，離不開職業(yè)判斷，對任何偏離指南的行為一定要有充分的理由。ISACA標(biāo)準(zhǔn)委員會制定了35條信息系統(tǒng)審計方案指南。信息系統(tǒng)審計方案指南B4.審計程序信息系統(tǒng)審計程序是依據(jù)審計準(zhǔn)則和審計指南制定的；它為審計師提供了一般審計業(yè)務(wù)的程序和步驟，是遵守審計準(zhǔn)則和審計指南的一些通常審計程序；審計程序為審計師提供了很好的工作范例，但審計師在執(zhí)行具體的審計業(yè)務(wù)時，還要根據(jù)特定的信息系統(tǒng)和特定的技術(shù)環(huán)境做出自己的職業(yè)判斷。信息系統(tǒng)審計程序IT審計過程指南根據(jù)IT業(yè)務(wù)過程的審計指南使審計師在審查特定的IT過程時，在COBIT推薦的控制目標(biāo)幫助下，確切的告訴管理層何處的控制是充分的，或者建議管理層在流程的哪些地方需要改進(jìn)。IT審計過程指南C.風(fēng)險分析風(fēng)險的概念風(fēng)險是特定的威脅利用資產(chǎn)的脆弱性從而造成對資產(chǎn)的一種潛在損害，風(fēng)險的嚴(yán)重程度與資產(chǎn)價值的損害程度及威脅發(fā)生的頻度成正比”風(fēng)險分析風(fēng)險控制目前是企業(yè)關(guān)注的重點，其前提首先要對企業(yè)面臨的風(fēng)險有一個全面的認(rèn)識一種企業(yè)風(fēng)險分析模型IS風(fēng)險評估常用方法組織中最重要的業(yè)務(wù)環(huán)節(jié)是什么？這些部分是如何使用與處理信息的？信息系統(tǒng)對這些部分的重要性如何？組織的信息系統(tǒng)在產(chǎn)生、傳輸、處理、存儲信息過程中有哪些薄弱環(huán)節(jié)，信息的機(jī)密性、完整性、可用性需要什么樣的保護(hù)？當(dāng)前組織的風(fēng)險管理方法與策略是否有效，是否能把風(fēng)險降低到管理層可以接受的水平?組織所制定的風(fēng)險控制目標(biāo)及控制方法是否考慮了成本效益原則？對風(fēng)險的管理是不是一個持續(xù)改善的過程？D.內(nèi)部控制概念組織為了降低風(fēng)險，保護(hù)其資產(chǎn)的安全性、會計資料的準(zhǔn)確性和可靠性，提高經(jīng)營效率以及貫徹執(zhí)行其規(guī)定的管理方針而在組織內(nèi)部采取的一系列制度、策略、方法及程序。董事會或最高管理層應(yīng)當(dāng)努力建立一種適宜的內(nèi)部控制文化，使得組織每一個人都參與到內(nèi)部控制系統(tǒng)中來，保證內(nèi)部控制的有效性，并對內(nèi)部控制進(jìn)行持續(xù)監(jiān)督與完善內(nèi)部控制的種類依據(jù)所要達(dá)到的直接目標(biāo)，可以分為會計控制、運(yùn)行控制和管理控制三類。依據(jù)控制的預(yù)定意圖，可以將其分為預(yù)防性控制、檢測性控制和更正性控制三類。依據(jù)信息處理系統(tǒng)的不同，可以將控制分為人工系統(tǒng)控制和信息系統(tǒng)控制兩類。依據(jù)控制所采取的工具或手段，可將控制分為手工控制和程序化控制兩類。依據(jù)控制對象的范圍和環(huán)境，可將控制分為一般控制和應(yīng)用控制兩類。控制舉例D1.內(nèi)部控制目標(biāo)內(nèi)部控制的目標(biāo)主要有四個，即資產(chǎn)安全、信息準(zhǔn)確可靠、業(yè)務(wù)運(yùn)行的效果及效率、管理方針的貫徹。具體包括以下各方面：保護(hù)資產(chǎn)符合組織的方針策略及法律法規(guī)的要求信息輸入輸出交易處理的準(zhǔn)確性及完整性數(shù)據(jù)處理的可靠性備份與恢復(fù)業(yè)務(wù)運(yùn)行的效率和經(jīng)濟(jì)性IT及相關(guān)系統(tǒng)的變更管理過程D2.信息系統(tǒng)的控制目標(biāo)保護(hù)信息資產(chǎn)；保護(hù)信息系統(tǒng)以防止不當(dāng)存取，并確保及時更新；保護(hù)計算機(jī)操作系統(tǒng)及網(wǎng)絡(luò)操作系統(tǒng)的完整性；保護(hù)敏感及重要應(yīng)用系統(tǒng)(如財務(wù)及管理應(yīng)用系統(tǒng))的機(jī)密性及完整性；保證信息系統(tǒng)的運(yùn)營效率與效果;符合用戶的需求、組織的方針、策略與程序，并遵守法律法規(guī)的要求;制定業(yè)務(wù)連續(xù)性計劃及災(zāi)難恢復(fù)計劃;制定應(yīng)急響應(yīng)及處理程序COBIT通過ISACA多年來研究，IT治理委員會于1996年發(fā)布的COBIT（ControlObjectivesforInformationandrelatedTechnology），這是一個在國際上公認(rèn)的、先進(jìn)權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，目前已經(jīng)更新至第三版。它在商業(yè)風(fēng)險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。該標(biāo)準(zhǔn)體系已在世界一百多個國家的重要組織與企業(yè)中運(yùn)用，指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險。COBIT產(chǎn)品COBIT的組成COBIT控制框架D3.一般控制程序一般控制適用于組織的各個方面，控制程序包含由管理者建立的政策及方法，目的在于合理地確保控制目標(biāo)可以實現(xiàn)。一般內(nèi)部控制程序包括：內(nèi)部會計控制—保護(hù)資產(chǎn)安全及財務(wù)記錄的可靠性。運(yùn)行控制—保證日常業(yè)務(wù)運(yùn)行、功能及活動能滿足業(yè)務(wù)目標(biāo)需要。管理控制—關(guān)注業(yè)務(wù)運(yùn)行效率和管理方針的貫徹。具體有以下方面：制定組織安全政策及程序用來確保各種交易與活動都有正確的授權(quán)；制定全面政策，設(shè)計并使用適當(dāng)?shù)奈募涗?，來確保交易有正確的記錄，如交易審計蹤跡；設(shè)計程序及功能來適當(dāng)保護(hù)資產(chǎn)和設(shè)施的使用；設(shè)計物理安全策略來管理數(shù)據(jù)中心。D4.信息系統(tǒng)控制程序一般內(nèi)部控制程序可以被轉(zhuǎn)換為信息系統(tǒng)控制程序。常用信息系統(tǒng)內(nèi)部控制程序有以下幾類：信息系統(tǒng)戰(zhàn)略與方向；信息系統(tǒng)的組織與管理；對數(shù)據(jù)與計算機(jī)程序的訪問限制；系統(tǒng)開發(fā)方法與變更控制；數(shù)據(jù)處理作業(yè)；系統(tǒng)編程及技術(shù)支持；數(shù)據(jù)處理質(zhì)量保證程序；物理訪問控制；業(yè)務(wù)連續(xù)性計劃與災(zāi)難恢復(fù)；數(shù)據(jù)庫管理E.實施信息系統(tǒng)審計定義審計是指有勝任能力的獨立機(jī)構(gòu)或人員接受委托或授權(quán)，對特定經(jīng)濟(jì)實體的可計量的信息證據(jù)進(jìn)行客觀地收集和評價,以確定這些信息與既定標(biāo)準(zhǔn)的符合程度,并向利益相關(guān)者報告的一個系統(tǒng)過程審計目的在于確定、履行被審計單位的委托責(zé)任和加強(qiáng)對被審計單位的管理與控制。審計步驟實施信息系統(tǒng)的審計與傳統(tǒng)審計的過程一樣，應(yīng)當(dāng)有以下幾個重要步驟：完備的審計規(guī)劃（短期、長期）為有效的地利用審計資源，審計組織必須評估所有風(fēng)險（一般控制與應(yīng)用控制領(lǐng)域）制定具體的審計計劃，包括審計目標(biāo)與審計程序收集證據(jù)、對現(xiàn)有控制進(jìn)行評估與測試編寫審計報告，并與管理層溝通審計發(fā)現(xiàn)跟蹤檢查E1.審計分類財務(wù)報表審計經(jīng)營審計綜合審計管理審計信息系統(tǒng)審計專項審計司法取證審計信息系統(tǒng)審計的特殊性：信息系統(tǒng)審計師還可以經(jīng)常從不同的方面來評估IT系統(tǒng)與功能，比如：安全、質(zhì)量、服務(wù)、效率、可靠性及能力等。由于審計對象的特殊性，信息系統(tǒng)審計在實施審計時，還要理解和掌握測試和評估信息系統(tǒng)控制的方法E2.審計方法論所謂的審計方法論就是通過在組織中制定一系列規(guī)范的審計方法來達(dá)到預(yù)期的審計目標(biāo)，也可稱為審計策略。主要內(nèi)容包括審計范圍、審計目標(biāo)及工作程序。審計方法論應(yīng)當(dāng)由審計部門的管理人員來制定與批準(zhǔn)，并在審計人員中推廣應(yīng)用。典型審計方法的各階段E3.審計方案信息系統(tǒng)審計師經(jīng)常需要從不同的角度評價IT系統(tǒng)及其功能，此時建立審計工作方案(也就是具體的審計策略與計劃)是一件十分重要的工作；通過審計工作方案可以確定具體的審計范圍、審計目標(biāo)、審計程序，以獲得充分的、合理的證據(jù)，以得出和支持審計結(jié)論與審計建議。

審計方案的一般內(nèi)容獲得對審計領(lǐng)域及審計主題的理解并進(jìn)行記錄；進(jìn)行風(fēng)險評估并制定通用的審計計劃和日程安排；制定詳細(xì)的審計規(guī)劃；對審計領(lǐng)域及審計主題的預(yù)審計；對審計領(lǐng)域及審計主題進(jìn)行評價；符合性測試(常指對控制的測試)實質(zhì)性測試；報告(溝通審計結(jié)果)；后續(xù)工作。E4.檢測舞弊行為一個設(shè)計良好的內(nèi)部控制系統(tǒng)不僅可以有效地威懾舞弊現(xiàn)象的發(fā)生，而且還可及時檢測出組織中出現(xiàn)各種不良行為；信息系統(tǒng)審計師應(yīng)當(dāng)認(rèn)真考慮組織中各種舞弊行為發(fā)生的可能性及出現(xiàn)的方式，特別要提防那些利用系統(tǒng)脆弱性和繞過IT環(huán)境中的控制來實施欺詐的行為。E5.審計風(fēng)險與重要性水平審計風(fēng)險的概念信息或財務(wù)報表可能有重要錯誤，但信息系統(tǒng)審計人員未發(fā)現(xiàn)已發(fā)生的錯誤，并做出了錯誤結(jié)論的風(fēng)險審計師選擇審計方法，制定審計程序，目的就是把審計風(fēng)險降低到審計師可以接受的水平。

評估審計過程本身所具有的風(fēng)險，并決定在審計過程中是否采用及如何采用符合性測試及實質(zhì)性測試。把對控制所做的成本效益分析與已知的風(fēng)險結(jié)合起來，做出最佳控制選擇。審計風(fēng)險分類固有風(fēng)險—是指假設(shè)不存在相關(guān)的內(nèi)部控制的情況下，發(fā)生重大錯誤的風(fēng)險?？刂骑L(fēng)險—是指有內(nèi)部控制制度但無法預(yù)防、及時發(fā)現(xiàn)或糾正重要錯誤的風(fēng)險。檢查風(fēng)險—是指信息系統(tǒng)審計人員由于采用不恰當(dāng)?shù)臏y試程序，未能發(fā)現(xiàn)已存在重大錯誤的風(fēng)險。整體審計風(fēng)險—整體審計風(fēng)險是對個別控制目標(biāo)所評估出的各類審計風(fēng)險的綜合。整體風(fēng)險的計算：整體審計風(fēng)險=(X*固有風(fēng)險)×(Y*控制風(fēng)險)×(Z*檢查風(fēng)險)其中X,Y,Z為風(fēng)險權(quán)數(shù)基于風(fēng)險的審計方法審計方法舉例重要性（Materiality）是指錯誤的嚴(yán)重程度，這一程度是從被審計信息系統(tǒng)的利益相關(guān)者的角度來判斷，如果影響到利益相關(guān)者的判斷與決策，那么這一錯誤就是重要的。信息系統(tǒng)審計人員在計劃審計業(yè)務(wù)時，為做出抽樣決策，應(yīng)評估重要性水平，以有效地使用審計資源，實現(xiàn)審計目標(biāo)。財務(wù)報表用貨幣價值作為衡量標(biāo)準(zhǔn)，審計師可以用貨幣價值來衡量重要性水平。而信息系統(tǒng)審計的對象可以是非財務(wù)項目，因此信息審計師需要得到如何確定重要性水平的指導(dǎo)計劃階段的重要性水平組織管理層、信息系統(tǒng)審計師和其他監(jiān)管機(jī)構(gòu)所能接受錯誤的整體程度；細(xì)微的過失或疏忽累計形成重大錯誤的可能性。當(dāng)信息系統(tǒng)審計目標(biāo)與財務(wù)系統(tǒng)或財務(wù)業(yè)務(wù)相關(guān)時，就應(yīng)該在重要性評價中考慮系統(tǒng)資產(chǎn)價值或每日／周／月的交易金額。與財務(wù)無關(guān)的情況下，重要性評價應(yīng)當(dāng)考慮以下內(nèi)容：①由信息系統(tǒng)所支持的業(yè)務(wù)流程的重要程度；②信息系統(tǒng)及其運(yùn)行的成本(包括硬件、軟件、員工、第三方服務(wù)、一般管理費(fèi)用或上述費(fèi)用的組合)；③潛在過失導(dǎo)致的額外成本(銷售額損失、賠償保證金、無法挽回的開發(fā)費(fèi)用、健康和安全費(fèi)用、不必要的高額生產(chǎn)費(fèi)用、高額損耗等)；④一定周期內(nèi)的系統(tǒng)訪問，數(shù)據(jù)處理／查詢使用次數(shù)；⑤需要制定的報告和維護(hù)的文檔的性質(zhì)、時限和范圍；⑥要處理的原材料的性質(zhì)與數(shù)量（如對存貨動態(tài)進(jìn)行了記錄，但沒有估價）；⑦所需要的服務(wù)水平協(xié)議，并違反協(xié)議時將受到的處罰；⑧不遵守法律法規(guī)和合同需求的處罰；⑨不遵守公共健康和安全條例的處罰。報告階段的重要性水平在撰寫信息系統(tǒng)審計報告中的結(jié)論和建議時，信息系統(tǒng)審計師應(yīng)考慮己發(fā)現(xiàn)錯誤的重要性水平和由于控制薄弱可能產(chǎn)生的潛在錯誤的重要性水平。如果不存在嚴(yán)重的控制缺陷，已存在的控制程序能有效地實現(xiàn)控制目標(biāo)，則審計師可以出具無保留意見的報告，這意味著控制得到認(rèn)可。如果因控制措施的不足，導(dǎo)致控制目標(biāo)無法實現(xiàn)，那么該控制缺陷就應(yīng)該是重要的，并且必須予以報告。此時，信息系統(tǒng)審計師應(yīng)該考慮出具一個保留意見或是否定意見。信息系統(tǒng)審計師還應(yīng)該考慮向管理層報告管理弱點，盡管這些弱點算不上重要的缺陷，特別是當(dāng)加強(qiáng)控制不需要很高成本時更應(yīng)報告。E6.風(fēng)險評估技術(shù)每一種對象審計都面臨著不同的審計風(fēng)險，信息系統(tǒng)審計師要善于評價各種風(fēng)險，并選擇對高風(fēng)險區(qū)域進(jìn)行審計。風(fēng)險評估的方法：一種是定性分級：對審計對象每一個重要風(fēng)險因素給出一個分值，把各種因素的風(fēng)險值累計起來就是被審計對象的風(fēng)險值。要優(yōu)先對高風(fēng)險區(qū)域進(jìn)行審計。另一種技術(shù)是審計師根據(jù)專業(yè)經(jīng)驗、業(yè)務(wù)知識、管理層的指導(dǎo)、業(yè)務(wù)目標(biāo)、環(huán)境因素等進(jìn)行判斷，以決定風(fēng)險大小及審計的優(yōu)先級定性分級風(fēng)險評估舉例E7.審計目標(biāo)審計目標(biāo)就是要通過收集證據(jù)，證實內(nèi)部控制存在并能有效地降低業(yè)務(wù)風(fēng)險。通用的審計目標(biāo)主要是鑒證信息資產(chǎn)的機(jī)密性、完整性、可用性、可靠性及與法律法規(guī)的符合性。在計劃信息系統(tǒng)審計時，一個關(guān)鍵因素就是要把基本的審計目標(biāo)轉(zhuǎn)換成特定的信息系統(tǒng)審計目標(biāo)。確定特定審計目標(biāo)要根據(jù)審計師職業(yè)判斷并參照相關(guān)標(biāo)準(zhǔn)，如：COBIT、BS7799、ITIL等。E8.符合性測試與實質(zhì)性測試符合性測試是對信息系統(tǒng)中內(nèi)部控制的存在性、有效性及控制程序編寫方法的合規(guī)性進(jìn)行核實，并得出相應(yīng)審計結(jié)論的一種測試方法。測試方法有：發(fā)放調(diào)查問卷、實地考察、查閱有關(guān)程序文檔資料等。符合性測試時要注意的問題：

控制制度涉及的方面越多，相應(yīng)的系統(tǒng)風(fēng)險越大，所允許的控制風(fēng)險就越小，符合性測試所取的樣本量就越大?？刂拼胧┰街匾?，所允許的控制風(fēng)險就越小。即某一控制措施很重要，一旦測試發(fā)現(xiàn)其已失控時，就沒有必要進(jìn)行符合性測試，而應(yīng)在此關(guān)鍵點進(jìn)行更多的實質(zhì)性測試。盡管符合性測試既包括功能測試，也包括業(yè)務(wù)測試，既測試有無錯誤，也測試具體數(shù)據(jù)，然而符合性測試是對內(nèi)部控制功能的實際作用的測試，而不是對系統(tǒng)處理后的資料正確性的測試，所以還必須進(jìn)行實質(zhì)性測試。實質(zhì)性測試是指經(jīng)被審計信息系統(tǒng)處理過的各種包括財務(wù)會計信息在內(nèi)的經(jīng)濟(jì)信息的合法性、正確性、真實性所進(jìn)行的直接檢查和分析性復(fù)核，以便對企業(yè)經(jīng)濟(jì)信息的質(zhì)量發(fā)表審計意見。信息系統(tǒng)條件下的實質(zhì)性測試與手工會計核算系統(tǒng)中的實質(zhì)性測試在目的和內(nèi)容上是相同的，只是在測試手段、方法、對象和時機(jī)上有所不同。

實質(zhì)性測試時要注意的問題：審計人員應(yīng)根據(jù)符合性測試的結(jié)果來確定實質(zhì)性測試的范圍。一般地說，符合性測試表明內(nèi)控可靠性高，實質(zhì)性測試范圍??；反之，實質(zhì)性測試范圍就大。通過分析性審核所發(fā)現(xiàn)的異常項目，應(yīng)包括在審計抽樣中，而且樣本數(shù)應(yīng)大于在普通情況下的抽樣數(shù)量，在特定情況下，甚至對所有異常項目進(jìn)行100％的實質(zhì)性測試。網(wǎng)絡(luò)化條件下，成批的事后審計被實時的事中審計所取代，大量數(shù)據(jù)同時瞬時通過審計控制點時，在實質(zhì)性測試中就必須采用統(tǒng)計抽樣技術(shù)，以便最大限度地減少審計風(fēng)險。E9.證據(jù)定義證據(jù)就是審計師按照審計標(biāo)準(zhǔn)及目標(biāo)的要求，在對某一實體或數(shù)據(jù)進(jìn)行審計時所采用的信息。收集證據(jù)是審計過程的一個重要步驟，信息系統(tǒng)審計師必須了解審計證據(jù)的表現(xiàn)形式、收集及評價證據(jù)的程序與技術(shù)證據(jù)的可靠性保證：提供審計證據(jù)人員的獨立性提供審計信息或證據(jù)人員的資格審計證據(jù)的客觀性審計證據(jù)的時效性收集證據(jù)的方法檢查信息系統(tǒng)組織結(jié)構(gòu)檢查信息系統(tǒng)政策與程序檢查信息系統(tǒng)標(biāo)準(zhǔn)檢查信息系統(tǒng)文檔選擇合適的人員進(jìn)行訪談漏洞掃描與滲透測試E10、與員工進(jìn)行訪談和觀察其行為

概念觀察員工的履行其職責(zé)的過程，有助于信息系統(tǒng)審計師獲取準(zhǔn)確的第一手資料。主要內(nèi)容工作職能-判斷合適的員工在做合適的事，見證員工是如何理解和遵守組織的政策及程序。實際過程/程序-對現(xiàn)場對過程/程序進(jìn)行穿行測試，有助于獲取符合性的證據(jù)以及了解偏離標(biāo)準(zhǔn)的程度。安全意識-驗證員工是否理解并實施了好的預(yù)防性和檢測性的安全控制措施，以保護(hù)組織信息資產(chǎn)安全。報告關(guān)系-確保對其工作是否分配了充分的職責(zé)，并進(jìn)行了必要的職責(zé)分離。工作能力-確保組織中的這些人員具有充分的技術(shù)能力完成其工作。E11、抽樣

概念從審計總體中選取一定數(shù)量的樣本進(jìn)行測試，并根據(jù)測試結(jié)果，推斷審計對象總體特征的一種方法。統(tǒng)計抽樣與非統(tǒng)計抽樣統(tǒng)計抽樣是審計師在計算正式抽樣結(jié)果時采用統(tǒng)計推斷技術(shù)的一種抽樣方法。是審計師全憑主觀標(biāo)準(zhǔn)和個人經(jīng)驗來評價樣本結(jié)果并對總體做出結(jié)論。屬性抽樣和變量抽樣屬性抽樣—估計一個控制或一組相關(guān)控制屬性的發(fā)生概率。變量抽樣—根據(jù)總體的抽樣來估計總體的金額數(shù)或其他衡量單位，如重量。

屬性抽樣的方法固定樣本量抽樣法停走抽樣法發(fā)現(xiàn)抽樣變量抽樣的方法分層單位平均估計抽樣不分層單位平均估計抽樣差額估計抽樣統(tǒng)計抽樣中的術(shù)語信賴系數(shù)風(fēng)險水平精度可容忍誤差預(yù)期總體誤差樣本平均值樣本標(biāo)準(zhǔn)差總體標(biāo)準(zhǔn)差執(zhí)行審計抽樣的主要步驟：

決定測試的目標(biāo)；定義抽樣的總體；決定抽樣的方法，如變量抽樣或?qū)傩猿闃?。計算樣本大??；選擇樣本；從審計觀點來評估樣本。統(tǒng)計抽樣的技術(shù)與方法

E12.利用其他的審計師或?qū)＜业姆?wù)成果原因信息系統(tǒng)審計師的普遍短缺，同時組織也需要IT安全專家和其他學(xué)科的專家的協(xié)助；信息系統(tǒng)鑒證和安全服務(wù)工作的外包越來越成為一種趨勢。注意事項是否存在法律、法規(guī)方面對外包審計服務(wù)的限制；審計章程、審計委托書或合同約定；對整體的或特定的信息系統(tǒng)審計目標(biāo)的影響；對信息系統(tǒng)審計風(fēng)險和職業(yè)責(zé)任的影響；其他審計師或外部專家的獨立性和客觀性；職業(yè)能力、資質(zhì)及經(jīng)驗；所涉及的外包工作范圍和工作途徑；來自組織監(jiān)督層和審計管理層的對審計外包的控制；對審計工作結(jié)果的溝通形式與方法；與法律、法規(guī)及職業(yè)標(biāo)準(zhǔn)的符合性；E13.計算機(jī)輔助審計技術(shù)CAAT通用和專用審計軟件技術(shù)通用和專用審計軟件都是一組能夠讀取、計算、分析計算機(jī)可讀記錄的程序。主要功能包括：數(shù)據(jù)讀取和轉(zhuǎn)換、查詢、計算、分類、抽樣選擇、排序、數(shù)據(jù)文件聯(lián)結(jié)、比較、合并、輸出。常用的計算機(jī)輔助審計軟件與技術(shù)公用軟件測試數(shù)據(jù)應(yīng)用程序檢查審計專家系統(tǒng)整體測試快照系統(tǒng)控制審計審核文檔其他特殊的審計軟件CAAT的應(yīng)用領(lǐng)域：

對交易與帳目數(shù)據(jù)的詳細(xì)測試分析性的檢查過程信息系統(tǒng)一般控制的符合性測試信息系統(tǒng)應(yīng)用控制的符合性測試操作系統(tǒng)脆弱性評估及穿透測試審計測試技術(shù)舉例CAAT的優(yōu)點：降低審計風(fēng)險程度；不太需要依賴被審計單位的人員；比較廣泛并一致的審計范圍；可以更快速利用資料；完善的意外事件處理功能；執(zhí)行時間較有彈性；更有機(jī)會量化內(nèi)部控制的弱點；加強(qiáng)抽樣；節(jié)省成本。計算機(jī)輔助審計過程中應(yīng)當(dāng)保留的文件：程序列表；詳細(xì)及總體流程圖；樣本報告；檔案及記錄的格式；欄位的定義；操作說明；原始文件說明。E14.審計證據(jù)評價收集審計證據(jù)之后，要評估所收集的信息，以便提出審計意見。審計證據(jù)評價要考慮的因素有：控制需求相關(guān)及周邊信息考慮補(bǔ)償性與重疊性控制考慮控制的相關(guān)性判斷控制是否有效率和效果分析證據(jù)的技術(shù)判斷審計結(jié)果的重要性水平審計師應(yīng)善用判斷來決定哪些問題對相關(guān)層級主管是重要的，并向他們報告。E15.審計報告審計準(zhǔn)則070.03中規(guī)定“在信息系統(tǒng)審計完成后，信息系統(tǒng)審計師應(yīng)提交一份按要求格式書寫的信息系統(tǒng)審計報告。信息系統(tǒng)審計報告應(yīng)陳述信息系統(tǒng)審計工作的范圍、目標(biāo)、期間、性質(zhì)等，并限定報告提交對象和發(fā)放條件。在報告中還應(yīng)陳述信息系統(tǒng)審計結(jié)論、信息系統(tǒng)審計建議和保留意見?！睂徲嬛改?70.010“審計報告”提供了一個審計報告內(nèi)容與格式的一般指導(dǎo)E16.審計跟蹤審計工作應(yīng)當(dāng)是一個持續(xù)進(jìn)行的過程，某一階段審計活動完成，審計報告遞交后，還需要跟蹤檢查管理層是否就審計發(fā)現(xiàn)及結(jié)論采取了改進(jìn)措施。跟蹤檢查的時效性取決于審計發(fā)現(xiàn)的重要性及基于審計的職業(yè)判斷，跟蹤檢查的結(jié)果要及時與管理層溝通。

E17.審計文檔ISACA審計指南G8“審計文檔”條款對審計文檔作了明確的要求.應(yīng)當(dāng)包括：審計計劃、信息系統(tǒng)環(huán)境的描述及圖示、審計程序、會議記錄、審計證據(jù)、審計發(fā)現(xiàn)、審計結(jié)論及建議、審計過程中發(fā)布的任何其他報告及監(jiān)督檢查結(jié)論等。

實施審計的限制因素：審計項目管理最近的員工更替或缺席；違反約定的項目結(jié)束日期及更新處理日期；相關(guān)知識與文檔的缺乏。制定詳細(xì)的計劃；按照審計計劃報告項目活動；調(diào)整計劃及采取糾正行動。F.控制自我評估CSA定義控制自我評估是用來對關(guān)鍵業(yè)務(wù)目標(biāo)、實現(xiàn)目標(biāo)所面臨的風(fēng)險及管理業(yè)務(wù)風(fēng)險的內(nèi)部控制進(jìn)行檢查的一系列正式的、程序化的過程。在控制自評活動中，管理層和CSA工作團(tuán)隊將直接參與到對現(xiàn)有控制的判斷與監(jiān)控中。在這個活動中，信息系統(tǒng)審計師充當(dāng)控制專家及評估活動的推動者。CSA基本工具包括管理會議、研討會(workshop)、工作表(worksheet)及CSA項目方法實施CSA方法的目標(biāo)通過把一些控制監(jiān)督的功能分散到職能部門，以發(fā)揮內(nèi)部控制的優(yōu)勢。CSA方法還要教育管理人員如何針對風(fēng)險區(qū)域設(shè)計控制方法與監(jiān)督措施，CSA方法不僅僅是作為策略要求員工遵守，而且還要求員工參與到CSA的設(shè)計與執(zhí)行中來在實施CSA方法時，應(yīng)當(dāng)制定每個階段(計劃、實施及監(jiān)督)可度量的成功因素來判斷CSA的價值及其將來的應(yīng)用。CSA的實施方法對于組織中的小型業(yè)務(wù)單位可以使用簡化研究會(F